1、《汽车数据安全管理若干规定》公开征求意见

国家互联网信息办公室12日发布通知，就《汽车数据安全管理若干规定(征求意见稿)》(下称“规定”)公开征求意见。规定提出，运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息)，且确需提供的，应当进行匿名化或脱敏处理，包括删除含有能够识别自然人的画面，或对这些画面中的人脸等进行局部轮廓化处理等。

据介绍，为加强个人信息和重要数据保护，规范汽车数据处理活动，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》。

来源：中国新闻网

2、84款App违法违规收集使用个人信息被通报

近期，针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定，组织对安全管理、网络借贷等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测。

其中，涉及安全管理类App共36款，包括腾讯手机管家、猎豹清理大师、360手机卫士等。涉及网络借贷类App共48款，包括360借条、平安好贷、51公积金借款等。针对检测发现的问题，相关App运营者应当于通报发布之日起15个工作日内完成整改。

来源：中国新闻网

3、微软更新多个漏洞安全补丁

近日，微软官方发布漏洞安全更新，共修复了55个针对微软产品的CVE漏洞，涉及Windows操作系统、.NET Core、Visual Studio、Internet Explorer（IE）、Office、SharePoint Server、Hyper-V、Exchange等相关组件。其中 4 个严重漏洞，50个高危漏洞。

漏洞包括：HTTP协议栈远程执行代码漏洞（CVE-2021-31166）、Hyper-V远程执行代码漏洞（CVE-2021-28476）、Visual Studio 远程代码执行漏洞（CVE-2021-27068）等，其中HTTP协议栈远程执行代码漏洞（CVE-2021-31166）具有传染性。

来源：nosec.org

4、美国最大成品油管道商因网络攻击停运

美国最大的成品油管道运营商Colonial Pipeline在当地时间周五（5月7日）因受到勒索软件攻击而关闭运营。此次攻击可能扰乱能源市场，并影响美国东海岸的天然气和柴油供应。

Colonial Pipeline周六在一份声明中表示，该公司“主动关闭了某些系统以控制威胁，这暂时停止了所有管道的运作，并影响了其部分IT系统。”目前，Colonial Pipeline正在努力让业务恢复正常。

网络安全公司FireEye旗下的Mandiant事件响应小组正在协助调查此次网络攻击事件。有网络安全行业消息人士称，网络攻击中使用的恶意软件是勒索软件，旨在通过加密数据和要求支付报酬来锁定系统。

Colonial Pipeline运营着美国最大的成品油管道系统，堪称美国东部最重要的油气大动脉，同时也是东海岸汽油、柴油和航空燃料的主要来源。这条全长5500英里的管道系统运行于德克萨斯州的休斯顿和新泽西州的林登市(Linden)之间，每天运输超过250万桶燃料，这大约占人口稠密的美国东海岸全部燃料消耗的45%。

来源：jiemian.com

5、拜登签署行政令 加强美国网络安全

当地时间5月12日，美国总统拜登签署了一项旨在加强美国网络安全的行政命令。拜登在白宫的声明中指出，近日在美国频发的网络安全事件发人深省，其中包括科洛尼尔管道运输公司被黑客攻击事件等等。美国政府需要采取行动来打击网络犯罪，并从根本上加强网络安全管理。

根据行政令，拜登要求规范和更新商业软件的网络安全标准，并要求联邦政府所使用的所有软件在9个月内达到新的标准，与政府有业务往来的软件开发人员必须公开其安全数据。行政令也要求联邦政府开始使用加密验证和身份验证等措施。此外，拜登下令建立网络安全审查委员会来分析网络攻击事件，委员会将由政府和私营部门共同领导。

来源：央视新闻

6、FragAttacks漏洞横扫全球WiFi设备

众所周知，Wi-Fi设备（WLAN无线局域网设备）的网络协议安全性相当脆弱，过去二十年一直修修补补，但网络安全意识淡漠年代遗留的先天设计缺陷却始终是一个巨大隐患。

近日，纽约大学阿布扎比分校的安全研究员Mathy Vanhoef发现了一种堪称“核弹级”的Wi-Fi安全漏洞——FragAttacks（破片和聚合攻击），该漏洞存在于1997年Wi-Fi技术诞生以来的所有Wi-Fi设备（包括计算机、智能手机、园区网络、家庭路由器、智能家居设备、智能汽车、物联网等等）。

FragAttack是一组漏洞，其中三个影响大多数WiFi设备，属于Wi-Fi 802.11标准帧聚合和帧分段功能中的设计缺陷，而其他漏洞是Wi-Fi产品中的编程错误。黑客只要在目标设备的Wi-Fi范围内，就能利用FragAttacks漏洞窃取敏感用户数据并执行恶意代码，甚至可以接管整个设备。

来源：安全牛

7、大规模DDoS攻击导致比利时政府网站瘫痪

此次网络攻击活动使得比利时一家互联网服务提供商的系统不堪重负，并导致比利时境内大规模的网络通信中断。

根据安全媒体的最新报道，比利时公共部门的互联网服务提供商Belnet本周二遭到大规模分布式拒绝服务（DDoS）攻击后，比利时许多政府网站和服务被迫下线。

根据Belnet提供的信息，此次网络攻击活动导致该公司大约200个机构和组织受到了影响。除此之外，此次攻击还导致政府公共办公室、大学和研究机构都部分或全部无法上网，相关网站几乎无法正常访问。

来源：freebuf.com

8、Cryakl勒索病毒改名换姓为Crylock持续活跃

早在2014年，名为Cryakl的勒索软件开始运营，期间进行了多次迭代后在2020年更名为Crylock。根据文件二进制信息，该勒索软件可能由Bad Black Rabbit团伙开发。建议日常生活工作中的重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份。

来源：4hou.com